Noen Har Slettet Filen Min. Hvordan Kan Jeg Finne Ut Hvem?

Hvis du noen gang har fått i oppgave å gjenopprette en tapt fil eller mappe og måtte forklare nøyaktig hva som skjedde (hvem flyttet eller slettet den? Når skjedde det? Hvorfor?), du vet hvor irriterende tidkrevende det kan være. Og noen ganger har du rett og slett ikke noen gode svar. Alt du kan gjøre er å gjenopprette fra backup.

hvordan løser vi dette?

Å Ha et revisjonsspor kan hjelpe enormt, men innfødt revisjon På Windows, UNIX OG mange andre plattformer er ressurskrevende, gir for mye data, spiser opp lagring og senker serverne. Det er lett å se hvorfor auditering sjelden er aktivert.

Utføre Rettsmedisinske Undersøkelser På Den Harde Måten

La oss se hva det egentlig tar å utføre rettsmedisinske undersøkelser På Windows ved hjelp av innfødt revisjon.

windows-overvåking for filtilgang krever først at vellykkede forsøk på objekttilgang er aktivert, via innstillingene for lokal eller domenesikkerhetspolicy.

 standard domenesikkerhetsinnstillinger

deretter må hver mappes overvåkingsinnstillinger endres for å inkludere brukerne du vil overvåke. Bildet nedenfor viser at «alle» som har tilgang til finansmappen, vil bli revidert.

 finans

når overvåking er aktivert, vises hendelser i sikkerhetshendelsesbeholderen:

Event Viewer

hendelsene må åpnes individuelt for å inspisere innholdet.

4

det er noen filtreringsevner hvis du vet hvilken bruker du er interessert i, men ikke for katalognavn, filtype, slett hendelser. Så, hva kan vi gjøre neste?

5

Gi Varonis ‘ DatAdvantage en prøve hvis du er på help desk, gjør etterforskning for sikkerhet – og revisjon databruk-du vil være i stand til raskt å svare på disse vanlige spørsmålene:

  • Hvem har fått tilgang til denne mappen?
  • Hvilke data har denne brukeren fått tilgang til?
  • hvem sendte e-post til hvem?
  • hvem slettet disse filene?
  • Hvor ble det av disse filene?

audit

For å lære mer: last ned Vårt Whitepaper-Akselererende Revisjoner med Automatisering

Leave a Reply

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.